Agenda é uma nova variedade de ransomware Golang visando especificamente organizações de saúde e educação na Indonésia, Tailândia, África do Sul, e Arábia Saudita.
Descoberto por pesquisadores da Trend Micro, Agenda ransomware pode reiniciar sistemas comprometidos no modo de segurança e pode tentar impedir a execução de vários processos e serviços específicos do servidor. além disso, o ransomware tem vários modos de execução e pode ser personalizado para cada vítima. As amostras coletadas pela Trend Micro incluem IDs de empresas exclusivas e detalhes de contas vazados.
Agenda Ransomware: Especificações técnicas
Malware escrito em Go (língua golang) está se tornando mais comum no cenário de ameaças. Deve-se notar que os programas Go são independentes e multiplataforma, o que significa que eles serão executados corretamente mesmo sem um interpretador Go instalado no sistema. além disso, a linguagem tem a capacidade de compilar as bibliotecas necessárias estaticamente, tornando a análise de segurança muito mais difícil.
Todas as amostras de Agenda coletadas eram PE de 64 bits [Executável Portátil] arquivos escritos em Go, e visando especificamente sistemas Windows. A investigação revelou que as amostras tinham contas vazadas, senhas de clientes, e IDs de empresa exclusivos usados como extensões de arquivos criptografados.
Os pesquisadores acreditam que Qilin, o grupo de ameaças por trás do Agenda ransomware, oferece “opções de afiliados para personalizar cargas binárias configuráveis para cada vítima, incluindo detalhes como ID da empresa, chave RSA, e processos e serviços para matar antes da criptografia de dados," conforme o relatório. O valor do resgate exigido também variou de empresa para empresa, variando de US$ 50.000 a US$ 800.000.
Agenda compartilha semelhanças com outras famílias de ransomware
De acordo com o relatório, Agenda compartilha semelhanças com a Basta Preta, Matéria Negra, e Ransomware REvil. Em relação aos sites de pagamento e à implementação da verificação do usuário por meio de um site Tor, o ransomware é uma reminiscência de Black Basta e Black Matter. Com REvil, o ransomware compartilha a funcionalidade de alterar as senhas do Windows e reinicializar no modo sábio por meio de um comando específico.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: